戊戌新年春节照旧在热闹中度过,辞旧迎新,除了变得更加油腻之外,自己也在慢慢适应职场角色的转变,2018年正式告别呆了10年的技术岗,从零开始变成市场菜鸟,因此也需要换个角度重新思考安全这个行当。
行业大环境在2017年有很大的变化,笔者在这里也分享自己的观点。
市场影响因素
1.市场变化
上云是常态,H省已建成省级政务云,14个市州也已经陆续建成市级政务云,在H省政务云领域,浪潮、中兴、华为基本三分天下,电子政务管理部门对安全产品及服务进行统一预算和采购,这对政府行业安全市场的影响巨大,原本30个局委办的采购需求骤减,并且采购方也发生了改变,大部分采购发起人从政府变成了CSP,而大部分CSP都有自己的安全产品或合作厂商。
当然产品形态也在发生变化,安全SaaS服务正蓄势待发。安全市场经过近20年的发展,传统硬件盒子堆砌起来的壁垒是相当之高,相信绝大多数安全厂商更愿意卖盒子而不是服务,出货量大,利润高,人力成本低,而且采购盒子可被采购方视为固定资产,服务则没有这些优势,特别是安全服务,在自动化程度相对来说没那么高的时候,一个坑里埋一个萝卜是最普遍的现象,盒子建立的产品模式壁垒需要慢慢地推倒。
去盒子化的第一大动力是IT架构的变迁,传统IT架构云化也带来了安全模式的变迁。云计算环境下,边界不再明晰,传统安全防护体系需要革新,纯硬件模式显然无法适应云环境,这使得受宠二十年的盒子大军突然意识到自己廉颇老矣饭量差劲。
经过SaaS浪潮的洗礼,大部分客户已经开始认同这种拧开水龙头就能用水的SaaS服务,除了政务云之外,部分将业务部署到云端的传统巨头企业也尝试着购买SaaS服务,当然安全SaaS也在其中。云上用户数量的大幅增长,势必会刺激到传统安全厂商进行自我革新,于是我们便能见到On-Premise和SaaS并存的Mixed模式,用户通过购买安全SaaS服务一键开通,看看市场上的各种“盾”大伙就清楚了。
这几年关于安全认知最大的改变其实是防护地位的变化,以前绝大多数的安全资源都投入在防护层面,各家各户都试图从攻防对抗角度去消除风险,但事与愿违,安全投入事倍功半效果不理想,摔得鼻青脸肿才意识到自己被攻防对抗带进了坑里,再牛的团队也无法保证自己能扛住所有的攻击。
既然这样,只能是加大安全检测和响应的投入了,这也正是Gartner预测的在未来几年,安全监测和响应类的产品和服务增速会提升,安全预算会从防护慢慢倾斜到检测和响应上来。那么讲到这里,大家都明白了去盒子化的另一个驱动力是用户对监测和响应能力需求的提高,而传统的封闭盒子无法满足要求。
2.市场细分
企业市场的头部用户仍然是“关基”,具体范围请参考《关键信息基础设施安全保护条例(征求意见稿)》第十八条,这里笔者将其摘抄出来:
第十八条下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:
(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(四)广播电台、电视台、通讯社等新闻单位;
(五)其他重点单位。
哪块客户细分群体最重要,毫无疑问是“关基”。
最大的增长潜力在哪里,应该是《网络安全法》主抓的“等级保护”和“关键信息基础设施保护”相关领域,再就是云安全和MSS服务。
哪个细分市场在萎缩,正在进行政务云大整合的政府部门。
哪个边缘细分市场值得关注,物联网安全。
3.客户需求
客户需求这个命题太大,客户需要什么,有哪些需求没有得到满足,最大的缝隙在哪里,客户最渴望满足的需求是什么,哪些需求在增长,哪些需求在减少,这是每个乙方都密切关注的话题。不同客户的需求侧重点肯定不一样,但最终归宿都是一样:免责和安全感。
政府网站和电网调度系统,这两个系统的安全需求无疑是不一样的,作为乙方你要解决某类用户的某项需求从而快速扩大市场份额,还是变身一个大而全的解决方案商吃更多利润,貌似国内玩法和国外差别还是挺大。
4.转换成本
乙方靠什么来维持自己和客户的密切关系,是低成本,还是优质的本地服务?还是其它?阻止客户采购友商的转移成本是什么?客户找到和购买相似产品或服务的难度有多大,品牌的作用有多大?
举个例子,现在国内的主流防火墙、IPS、云防护服务的转换成本相对而言是比较低的。像云防护服务,迁移方式一模一样,防护策略大同小异,防护效果基本一致,唯一不同的可能就是价格有细微区别,这个时候就需要销售去建立其他的转换成本了。
5.收益吸引力
客户真正愿意采购的是什么产品或服务?什么产品或服务能获得最大的收益率,客户是否能轻易发现并购买更便宜的竞品?将产品和服务组合打包给客户是不是另外一种获利模式。
由于政务云的存在和电子政务管理部门的强势,政府客户采购传统硬件盒子的机会越来越少,采购安全SaaS服务或通过购买服务(获得免费部署硬件)的模式来绕过政策壁垒也是现在的常用方法。
行业影响因素
1.竞争对手
谁是自己的竞争对手,谁来制定和主导游戏规则,它们的竞争优势和劣势是什么?描绘出它们的主要产品和服务,它们关注重点是哪个细分客户?它们的成本结构怎样样?它们对我们的细分客户、收入来源和利润率能产生多大的影响?
要摸清这些都不算麻烦,麻烦是的摸清对手的打法和所拥有的资源,同样是做Web安全,有些厂商紧跟监管部门步伐拿下不少大单,另外一些则广撒网捞小鱼不温不火。
2.行业新进入者
谁是市场的新进入者,它们有什么不同,它们的竞争优势和劣势是什么?它们必须克服哪些市场准入壁垒?它们专注哪块细分市场?
安全行业创业者很多,也死了很多,新技术领域创业者很多,都声称掌握行业领先技术,把故事讲好了能拿到一轮融资,但是市场和客户的开拓未必会有那么轻松。
3.供应商和其他价值链参与者
在安全行业的价值链中,谁是关键参与者,自己的生意是否需要依赖于其他的参与者,行业中的边缘参与者是否有崛起的机会,哪个参与者的收益最高?
从等级保护这个角度来看,客户-测评机构-集成商-安全厂商/安全服务提供商,这一整条价值链,谁大谁小,谁依赖谁,一目了然。
关键趋势
1.技术趋势
安全行业最大的变化还是伴随云计算一起发展的安全SaaS服务,单纯地将安全设备虚拟化可能脱离了整个云计算的生态。笔者的理解是未来的云上安全应该是通过整体的一站式虚拟管理平台进行控制,简单的虚拟化确实会带来糟糕的用户体验,而安全SaaS的最终归宿应该是CSP提供给用户的管理平台。
摩根斯坦利还有一个观点,它认为Consolidation是未来5年安全趋势的一个关键词,Consolidation提了很多年,没想到最终会先在云上实现。Consolidation包含安全集成、协同和统一的意思,云安全SaaS化正是通过和安全厂商进行高效的集成来实现Consolidation。
Consolidation还意味着更少的安全厂商做更多的事情。
一个更少,意味着安全厂商能够为基础设施提供部分安全功能和服务,另外可以选择更全面更合适的安全生态合作伙伴,在这里可以把握安全生态合作伙伴的准入门槛,更少也意味着更优质,也表示协同云上安全架构的管理和运营成本更少。
一个更多,希望与更多的安全生态合作伙伴能够展开更深入的协同和集成,通过Consolidation化来提升安全管理效率。多个安全功能通过平台进行融合集成之后,安全效率会得到更大的提升,跨功能间的信息共享和自动化处理会更顺畅。
之前读过朋友圈转发的一篇文章《基础设施软件已死》,标题虽然有些吓人,但文章算是看清了产品和服务本质区别,Gartner的分析师Sid Deshpande等人也基于调查写了一篇市场分析文章:《Market Trends:Are Cloud
Providers Becoming Security Vendors?》,其实文中观点和《基础设施软件已死》相互呼应。
用户不关心云环境的基础设施基于什么软件搭建和运行,他们更在乎服务高质量交付,而基础设施安全也是交付的一部分,云服务商在交付云计算服务的同时,基础设施安全是它们必须正面面对的一个领域,而安全作为云服务的基因,需要融入到云计算基础设施的生命周期。
2.政策趋势
《网络安全法》于2017年6月1日起正式实施,这带来了几个变化。
等级保护在各地公安部门的执法工作后变成了一项常态化工作,发生安全事件或曝光安全漏洞的单位都会收到公安部门的“限期整改通知单”,这纸文件的内容就包含限期进行等级保护测评整改及备案工作。
看看各大厂商纷纷提供的等级保护解决方案就知道大家的第一关注点在哪了。
再就是在完成“摸清家底”的第一阶段工作后,第二阶段的“认清风险”和“找出漏洞”促使各行业迎来了安全大检查,而“关基”用户在安全大检查中将消耗掉占比不小的安全预算。
不管是自查还是监管单位检查,这背后都少不了专业队伍的技术支撑,特别是针对云计算基础设施、大数据平台、移动互联系统、智慧城市、IoT和IIoT等领域的安全检查,技术准入门槛较高,检查工作带来的潜在风险较多,瓷器店里捉老鼠需要的是艺高人胆大心细的老师傅,因此在云安全、大数据安全、移动安全及IoT安全领域布局较早具备技术积累的厂商很有可能脱颖而出。
“认清风险”和“找出漏洞”之后,接下来的“通报结果”和“督促整改”这一波红利至少能支撑好几家厂商拿下大单,看看贵阳市大数据安全的项目,一个多亿的大单在国内算是少见了。
政策出台对安全厂商是利好,同样对基础设施服务商而言也是利好,比如云计算领域,安全积累越深保障能力越强的CSP将凭借此优势继续拉大市场领跑距离,原因有二,一是面向云上用户的安全产品和服务将迎来大卖,二是其基础设施自身出众的安全能力将吸引更多的云上和云下用户迁移过来。
另外前不久某电商征信数据泄露案例也反映了各行业在数据隐私保护方面的极大不足,不出意外今年违法受罚的企业不在少数,各类大数据平台的数据脱敏、数据防泄露和隐私保护的刚性需求将成为后续安全市场新增长点,数据安全市场份额会水涨船高,这对国内此前不温不火的数据安全市场而言,算是一个突破的契机。
3.威胁趋势
万物皆可黑,万物皆武器。Mirai蠕虫利用网络摄像头粗暴地突突了美国东部DNS节点导致互联网瘫痪,希拉里私人邮箱被黑惊天丑闻曝光最终导致与美总统宝座失之交臂,勒索软件层出不穷大肆敲诈形成增速最快经济体,关于威胁的走向,这几个案例其实很能说明问题。
随着智能生活和IoT应用的快速推进,预计2020年全球IoT设备达到200亿,而PC仅有10亿,这些IoT设备的安全性简直就是惨不忍睹,默认用户名口令、明文传输协议、厂商内置后门、系统设计缺陷、供应链污染等应有尽有。可以想象,这些隐藏在各个角落的不起眼设备未来将会成为各种攻击的主力军,而那些不作为的IoT厂商将被消费者钉上耻辱柱。
IoT是数字化革命的基石,同样它的安全隐患将成为各大安全事件的重要注脚。
勒索软件的本质不会改变,但是它会继续形式上的创新,同时它的侵害对象将从PC侧扩大至漫无边际的IoT领域,类似地铁售票终端机被勒索软件免费售票的案例就会频发,甚至我们身边会发生运行中的电梯控制系统被锁定停止、楼宇里的智能门禁无法打开、汽车无法启动、电网中断输电引起城市瘫痪的各种事故。当然勒索软件可能不再只是索取比特币这么简单,它会先窃取敏感信息再进行无赖式加密,以实现其黑产组织的利益最大化。
当勒索软件和IoT、智慧城市狭路相逢,惨烈程度可想而知。前阵子业内同行介绍的勒索软件“传销式传播”已经证明传播模式的创新给攻击者带来利润的翻番,相对应地沙盒类检测产品、邮件安全网关和数据备份产品的需求量也会逐步增多。
威胁同样会变得更加智能,未来的恶意软件可能会比安全厂商更彻底地应用机器学习和人工智能等技术手段,恶意软件智能化和自主化将成为新趋势,这使得安全体系的对抗成本大幅提高,按照Derek Monky的说法,小目标群体将迎来更多的自动化的攻击,而大目标将要对定制攻击严阵以待。
目前来讲物联网安全市场算是传统安全市场中比较边缘化的细分领域,但是五年后呢,谁也说不好。
4.服务趋势
《网络安全法》执法案例时有发生,对于网络运营者而言,凛冬将至,不依法履责需要背负法律责任,发生重大安全事故同样会被约谈和受到处罚。
网络运营单位缺少安全技术储备,外部安全人才紧缺,要想迅速高效地推进安全事务,目前来看,除了MSS(安全外包)服务之外没有其它更好的选择,由MSSP提供整套安全解决方案,咨询、规划、评估、加固、监测、应急响应,MSS服务将会覆盖信息系统生命周期。
MSS服务旧瓶装新酒将迎来第二春,通过MSS平台联动各类安全组件,实现自动预警和响应,服务具备复制性,当然还能集成威胁情报服务,将SIEM和TI集成起来,发挥1+1>2的作用。当MSS达到一定规模的时候,可能自动化程度更高的安全运营中心(SOC)将成为标配。
线下本地化的MSS业务同样化加速扩大,越来越多的网络运营者会意识到安全是一个闭环,单靠防护谁都保证不了100%的安全,因此快速检测和响应模式会成为市场上的明星级服务,本地化的MSS服务同样会朝自动化平台化服务化方向演进,传统的盒子类产品需要配套的MSS服务才能更好地发挥作用。
5.供需趋势
无论技术如何发展,产品如何迭代更新,理念如何引人入胜,安全回归到商业本质还是一个供需关系,供需对等平衡才能促使这个市场保持良性运转。作为一名技术宅,笔者试着从个人经验和理解来分析安全行业的供需关。
首先要强调的是安全行业不能以简单的买方市场或卖方市场来定义,在通用型解决方案场景里,安全是买方市场,而现在的买方市场的特征其实很明显。
特征一:市场总量大,但对卖方而言市场份额可能呈下降趋势。
就拿防火墙来举例,它就和灭火器一样,在用户网络里算是一个必备安全设施,因此市场总量是非常大的。但由于防火墙技术本身没有高门槛,要进入这个领域不会有太高的壁垒,这就导致目前市场上防火墙厂商至少是15家以上,除开性能和少数功能差异之外,用户对防火墙的感知其没有太大区别。
特征二:竞争惨烈,打价格战,卖方基本走薄利多销策略。
竞争惨烈就不用多说了,当年15万-20万一台的中高端防火墙现在身价急转直下,业内曾经的明星选手万兆防火墙就曾经卖出过2万4的白菜价, 姑且不谈成本是多少,相比较历史10万以上的均价而言,这绝对是可以记入安全行业历史的一笔折扣。另外还有一些惨无人道的0元中标,毫无诚意套路满满。
特征三:卖方利润剧减,毫无服务可言。
还记得在08年那会儿,单位找了IBM和新加坡一家MSSP做产品选型,对方发过来一份售前兼培训讲师的身价,没记错的话差不多是1500$/人日,人家一天收入比笔者一个月工资还多。到了今天咱们再来看看国内某些行业采购的乙方安全服务报价,大多数都是800¥/人日,更夸张的是还有500¥/人日中标的,而这些500¥/800¥身价的工程师们,是要承担评估加固监测应急各种活的,人家乙方怎么可能让一票资深安全服务工程师一头扎进这些项目里被活埋,所以亏本生意没有人做,这些项目成了安全实习生茁壮成长的实验田。
那一台台防火墙、IDS、IPS就像被遗弃的孩子,从此深埋客户机房便再无相见之日。
一定有人会问,安全行业有没有卖方市场?答案是有。
第一类便是与通用型解决方案场景相反的特定细分解决方案,看看那些不拼关系拿项目的卖方,凭借自身技术实力建立起足够高的竞争壁垒,像电商反欺诈业务,市场上有没有其它卖方提供反欺诈业务,当然是有,能不能用,当然能用,但是一旦货比三家,就不太好选了。
当然能站上卖方市场高点的只有金字塔顶端的那一小撮人一小撮公司,它们能够解决用户的痛点问题,产品功能无与伦比的强大,同时会向用户交付行业最优质的服务,它们有自己的追求和目标,也有自己骄傲和操守,当然更不会放弃任何一分利益。
第二类是更夸张的垄断市场,比如机构总部的三产公司,或者是行业监管的测评机构,这些都是含着金汤匙出生的X二代,守着父辈留下的一亩三分地,自出生以来就没有签单的困扰,不管是锅里的还是碗里的,别人都拿不走,想吃就吃,不想吃就扔。
第三类是创新型的卖方市场,举个栗子,比如一些安全认证和资质评定机构,它们可能会开发一些新的认证,然后独占特定的认证能力和资源,利用这么一个创新就掌握了一个庞大的卖方市场。它们自己制定认证规则,并且拥有定价权,不用去争得头破血流抢个客户,也不是所谓的啃老族。
当然还有一种途径是独家代理,比如代理国外某款超级牛逼的安全产品,国内只有你卖,客户有需要就只能找你,前提是你有能力抢在别人之前搞定代理这件事。另外将国外新型认证引入国内也是一种方式,一些人将国外认证引进来,自己充当代言人,组建认证团队,四处发证,这是近段时间看到最多的一个案例。
讲了这么多,就是想说安全行业里既有买方市场又有卖方市场,而且是相对动态变化的,眼下信息安全创业者有很多,创业人到底是想凭借多年技术积累和客户关系再次挤进买方市场,还是另辟蹊径看准某个细分热点领域,争做前三个吃螃蟹的人,努力打造自己的卖方市场,我们不得而知。向左走,还是向右走,这是个问题。
有句话总结的很好:解决痛点还是解决痒点,痛点是解决买方的问题,痒点是满足买方的欲望,卖点是自身的特色。
我们再回头来看看现在的供需关系,这里边有几个典型的场景。
场景1:就是没钱
好多单位安全漏洞随处可见,每台服务器都是一个养马场,上级单位发过文,监管机构来过函,安全厂商交流多次,相关责任人也有危机意识,奈何在预算上捉襟见肘。十米深的坑,口袋里的钱只够买回填上1米的石头,剩下的9米咋办,话先说到这里,怎么来填相信大家各有各的办法。
场景2:不怕监管
销售铁柱跟某个有钱单位的安全对口人搭上了线,然后把国家政策和行业要求跟对方解释得清清楚楚明明白白,客户寒暄一番之后打发了铁柱,一个月后铁柱联系客户依然得到延后的回复,铁柱猜测是不是力度不够大,这时候恰好公安机关发现该单位系统的一个高危漏洞,网监部门的警官就带着整改通知单上门,客户解释了很多,系统是很多年前开发出来的,现在已经找不到开发商团队了,这个业务系统暂时还停不了,只能想其它办法来整改,就这样3个月时间过去了。
铁柱觉得事情不对劲,上级单位的发文不管用,公安机关的督促整改也不管用,于是一横下心直接赶到客户办公室,客户大概也看出了铁柱的心思,直接跟铁柱交了底。主管领导对安全不够重视,认为安全是个花钱没收益的事儿,另外他们单位跟监管机关是平级的,所以他们压根就不会理会。
场景3:占山为王
还有一些客户被厂商惯着宠着私自藏着,这些客户的安全文化和认知基本都是由这个特定厂商所熏陶和影响,久而久之就产生了依赖性,并且形成了任你溺水三千我只取一瓢饮的新局面,新的厂商要么进不来吃闭门羹,要么是进来之后被地主厂商杀个片甲不留扫地出门,长此以往,其它厂商只要看见山头上插了某厂旗帜基本不会再碰,只能去等着这个厂商出错被客户踢走,虽然这个概率非常之低。
这种独特的奶妈式服务肯定是存在一定隐患的,谁还保不齐碰不到几口毒奶不是。
最后还想表达一个观点,国内最大的安全市场还是合规市场,需求最大的合规来自“等级保护”和“关键信息基础设施保护”,“等级保护”的全家桶都有啥,你家有汉堡还是薯条,你的汉堡能不能做成爆款,这才是大伙需要考虑更多的。